Voor onze jaarlijke Consultancy Guide vroegen we onze Computable-experts waarom je als bedrijf een consultant zou moeten inhuren om je te laten adviseren over security. ‘Een vertrouweling vandaag kan morgen een vijand zijn. Je moet dus in staat zijn om op zeer korte termijn de rollen en rechten aan te passen,’ aldus Morteza Esteki van Quest. ‘Dit vereist dat een organisatie een consistent beleid en bijbehorende beleidsregels vastlegt. Een consultant kan bedrijven ondersteunen in dit proces.’
Wat is het?
Directeur Paul de Vlieger van Com-Connect: ‘De officiële definitie van Security binnen ict is: Het waarborgen van de vertrouwelijkheid, integriteit, beschikbaarheid en authenticiteit van de ict assets van een organisatie. Ik zou hier aan willen toevoegen dat Security zeker ook het waarborgen van de menselijke factor moet omvatten.'
Moet ik hierover nadenken?
'Security is relevant voor alle bedrijven die belangrijke informatie huisvesten. Dat zijn dus alle bedrijven,' zegt adviseur André Zegers van Traxion kort en bondig.
Adviseur Marcel van Wort vanOrange Business Services noemt daarnaast een aantal omstandigheden waaronder het extra belangrijk is om een strategie op het gebied van security te ontwikkelen: 'Security is belangrijk voor organisaties die schade kunnen lijden wanneer informatie of processen worden verstoord, waar een vertrouwensband wordt onderhouden met klanten en/of leveranciers, zoals in de financiële- of de productie sector. Dat geldt ook voor organisaties die werken met vertrouwelijke informatie zoals overheden of in de gezondheidszorg.'
Wat valt er te kiezen?
‘Bedrijven moeten bepalen welke bedrijfsmiddelen het meest waardevol zijn en daar in eerste instantie op focussen.' Dat zegt Morteza Esteki van Quest. ‘De nadruk moet daarbij liggen op authorisatie en authenticatie. Dus: wie is geautoriseerd om waar toegang tot te krijgen?'
Van Wort: ‘De keuze voor het niveau van beveiliging moet in balans zijn met de verwachte schade als gevolg van securityincidenten en moet worden gebaseerd op de gebieden waar het grootste risico bestaat. Er zal moeten worden gekozen tussen (valse) flexibiliteit met veel vrijheden en een hoger risico of aangescherpte procedures en een formelere cultuur, om zodoende het risico op beveiligingsincidenten te verlagen. De kosten voor security mogen in ieder geval de hoogte van het risico niet overstijgen.'
Wat is daar zo moeilijk aan?
‘De meeste bedrijven hebben meestal geen totaalplaatje van alle gegevens (of het transport ervan) in hun organisatie. Hebben ze dat wel dan zijn vaak de vertrouwelijkheidniveaus en bijbehorende risico's van de diverse gegevens niet gedefinieerd.' Dat is de ervaring van directeur Rolf van Gent van NETASQ. En dat terwijl dat overzicht volgens hem wel de basis is om efficiënt in security te investeren: ‘Een consultant kan helpen bij het opstellen van de genoemde basis en kent, als het goed is, ook de diverse securityoplossingen op de markt die het beste passen bij het budget, veiligheidsniveau en gebruikersgemak van een organisatie.'
De Vlieger: ‘Binnen het MKB, maar ook binnen grotere organisaties ziet men te vaak dat het totale Securitybeleid wordt gedropt bij de externe- of eigen systeembeheerder. Juist op deze groep medewerkers ontbreekt vaak enige vorm van toezicht of audit. En juist deze groep heeft weinig tot geen oog voor de menselijk factor van beveiliging. Zo wordt het securityrisico dus eerder groter dan kleiner. Echte Security eist een extern derde oog.'
Volgens Manager Kenniscentrum Gert Jan Timmerman van Info Support is het lastige dat Security nooit beter is dan de zwakste schakel. ‘En het is moeilijk die zwakste schakel te zien. Een consultant kan helpen deze op te sporen en hierover te adviseren. Het is bijvoorbeeld vaak moeilijk voor het management van een organisatie in te zien dat men zich ook moet beschermen tegen de eigen medewerkers.'
‘Een vertrouweling vandaag kan morgen een vijand zijn. Je moet dus in staat zijn om op zeer korte termijn de rollen en rechten aan te passen,' aldus Esteki. ‘Dit vereist dat een organisatie een consistent beleid en bijbehorende beleidsregels vastlegt en deze koppelt aan (technologische) investeringen om dit beleid te borgen. Een consultant kan bedrijven ondersteunen in dit proces.'
Wie geeft hierover advies?
AAC Cosmos
Accenture
Atos Origin
Avaya
BT
Bull
Capgemini/Sogeti
Centric
Ciber
Ctac
Deloitte Consulting
Ernst & Young
Fujitsu
HP
IBM
Imtech ICT
Inter Access
IT Staffing
KPN/Getronics
Logica
Microsoft
NCCW
Nobel
Ordina
Qurius
Siemens
Simac
Tata Consultancy Services
Triple P
T-Systems
Unisys
VX Company
Selectie adviesbedrijven
Bovenstaande lijst kwam tot stand door aan de veertig grootste adviesbedrijven te vragen over welke ict-deelgebieden zij adviseren.
De selectie van de veertig grootste adviesbedrijven is uitgevoerd door Mazars Berenschot Corporate Finance. Dat gebeurde op basis van omzetgegevens van ict-bedrijven die ict-advisering als hoofdbedrijfsactiviteit hebben. Deze omzetgegevens zijn gehaald uit openbare bronnen.